Контакты
Подписка 2025
Статьи по информационной безопасности

Перспективы и тренды развития платформ TIP

Редакция журнала "Информационная безопасность", 18/01/24

Threat Intelligence Platform (TIP) выступает в роли умного инструмента, предназначенного для сбора, анализа и использования данных о киберугрозах. Разработчиками этого класса решений посмотрели на перспективы его развития.

ris2-1

Эксперты:

  • Кирилл Митрофанов, руководитель команды аналитики разведки киберугроз “Лаборатории Касперского”
  • Роман Овчинников, руководитель отдела исполнения Security Vision
  • Илья Селезнев, руководитель продукта TI группы компаний “Гарда”
  • Алексей Семенычев, руководитель направления экспертизы и аналитики компании “Гарда Технологии” (входит в группу компаний “Гарда”)
  • Олег Скулкин, руководитель BI.ZONE Threat Intelligence
  • Николай Степанов, пресейл-инженер F.A.C.C.T.
  • Борис Сторонкин, менеджер продукта Kaspersky Threat Intelligence Platform в “Лаборатории Касперского”
  • Валерия Чулкова, руководитель продукта R-Vision TIP
  • Елена Шамшина, руководитель департамента Threat Intelligence компании F.A.C.C.T.

Наблюдаете ли вы слияние функциональности российских систем SIEM, SOAR и TIP? Вокруг какого класса решений это происходит или скорее всего произойдет?

Илья Селезнев, Гарда:

На мой взгляд, активного слияния не происходит, упор больше делается на создание экосистем. То есть использование одного продукта становится более эффективным или удобным при включении второго, третьего – в зависимости от состава экосистемы. Если же такая тенденция появится, то, конечно, центром такого слияния будет SOAR.

Валерия Чулкова, R-Vision:

Учитывая, что TIP не только агрегирует данные TI в едином пространстве, но и обеспечивает инструментами аналитики, обнаружения и экспорта, сложно сказать, что этот функционал мигрирует в другие системы. При этом потребность в данных киберразведки со стороны других систем заметно растет, и формат платформы TI наилучшим образом подходит для централизованной доставки данных киберразведки в системы ИБ. Наиболее активное применение этих данных приходится на системы SIEM. Однако такие системы. как SOAR, песочницы, EDR, IDS, также нуждаются в атрибуции IoC.

Елена Шамшина, F.A.C.C.T.:

В ближайшем будущем все больше данных из TI будут интегрироваться в смежные ИБ-системы для корреляции и построения моделей киберугроз. Все больше компаний, оказывающих поддержку клиентам в качестве SOC, используют в своей работе TI-платформы.

Борис Сторонкин, Лаборатория Касперского:

Тренд централизации данных классов решений действительно имеет место быть в решениях класса XDR. При внедрении XDR важно обеспечить полноценное взаимодействие между его компонентами и выстроить процессы, эффективно использующие эти взаимодействия.

Роман Овчинников, Security Vision:

Все три класса применяются в процессе управления киберинцидентами, поэтому неудивителен тренд на конвергенцию функционала данных систем. В процессе реагирования важно выполнение активных действий по оперативной локализации и устранению угрозы, а источник данных об инциденте (SIEM-система или конечное СЗИ) не так важны, поэтому выстраивание подобного объединения видится целесообразным вокруг решений класса NG SOAR.

Олег Скулкин, BI.ZONE:

Многие вендоры уже предлагают широкий набор интеграций с самыми разными решениями. Обычно это данные технического уровня, а именно потоки индикаторов компрометации. Тем не менее, хорошие платформы содержат в том числе данные тактического, операционного и стратегического уровней, а это значит, что обогащение можно значительно улучшить: оно может включать описание группировки или ВПО, связанные инструменты, уязвимости и т.п.

Каковы перспективы и тренды развития платформ TIP?

Валерия Чулкова, R-Vision:

С учетом изменений конъюнктуры рынка ИБ в России можно прогнозировать развитие возможностей интеграции с отечественными вендорами систем ИБ. При этом постоянная борьба за ресурсы специалистов будет стимулировать развитие автоматизации сценариев работы с данными TI. Тренд на внедрение технологий ML уже можно наблюдать в разных элементах платформ. В целом же в TIP будут появляться новые источники данных киберразведки, улучшаться элементы анализа и обмена данными, совершенствоваться общий пользовательский опыт эксплуатации.

Борис Сторонкин, Лаборатория Касперского:

  1. Будет доступно расширение типов и увеличение объемов хранимой информации.
  2. Станет возможным нахождение связей и улучшение контекстной информации по каждому типу, в том числе с использованием искусственного интеллекта.
  3. Уже сейчас есть спрос на Tailored TI, и вендоры будут активнее фокусироваться именно на релевантных для конкретного заказчика данных.

Роман Овчинников, Security Vision:

Уже сейчас заметен тренд на применение технологий машинного обучения и искусственного интеллекта для выявления аномалий, проактивного обнаружения и реагирования на киберугрозы в TIP-решениях. Не исключен отход от классических IoC (хеши, домены, URL, IP) в сторону выявления индикаторов атак (IoA) с автоматическим реагированием при их обнаружении.

Алексей Семенычев, Гарда:

Перспективными направлениями развития можно считать технологии машинного обучения для работы с большими объемами данных, интеграцию с системами SIEM (управление информацией о безопасности и управление событиями безопасности), SOAR (оркестрация систем безопасности), интеграцию с DRPS (защита от цифровых рисков) и EASM (управление поверхностью внешней атаки).

Кирилл Митрофанов, Лаборатория Касперского:

  1. Популярность TIP будет расти, пользователи осознают необходимость делится информацией об инцидентах в рамках парадигмы "предупрежден – значит вооружен".
  2. Появится автоматический парсинг загружаемых отчетов по TTPs с целью обогатить профили акторов и ландшафт киберугроз.
  3. Станет возможным предоставление контекстной информации "на лету" в браузере в процессе чтения отчетов в Сети.
  4. Появится модуль эмуляции атак на основе обработанных данных из отчетов.

Олег Скулкин, BI.ZONE:

Платформы должны развиваться в первую очередь в сторону обеспечения качества данных. К сожалению, сейчас многие ограничиваются лишь сбором данных из открытых источников, которые зачастую содержат небольшое количество релевантной информации. Кроме того, многие вендоры будут внедрять свои данные Threat Intelligence в собственные продукты, например EDR.
Темы:Круглый столThreat IntelligenceThread Intelligence PlatformЖурнал "Информационная безопасность" №5, 2023TIP

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Защищенный удаленный доступ: технологии безопасной дистанционной работы
Материалы конференции Форума ITSEC 2025 →
Статьи по той же темеСтатьи по той же теме

  • IDM в действии: опыт, ошибки и метрики зрелых проектов
    Несмотря на зрелость рынка IDM, каждая попытка внедрения натыкается на старые противоречия: между ролевой моделью и реальной оргструктурой, между автоматизацией и человеческими исключениями, между безопасностью и скоростью доступа. Мы задали экспертам вопросы, ответы на которые можно использовать в качестве готовых рекомендаций в ваших проектах.
  • Повседневная рассылка инцидентов
    Корпоративная почта остается одним из основных каналов коммуникации и одновременно – самым атакуемым вектором в инфраструктуре любой компании. Фишинг, компрометация учетных записей, злоупотребления доступом и ошибки настройки сервисов делают ее зоной постоянного риска. Мы предложили экспертам обсудить, что сегодня является самым слабым звеном в почтовой безопасности и какие решения действительно работают.
  • NAC: ключ к Zero Trust или пережиток прошлого?
    Какую роль играет NAC – это основа сетевой безопасности и важный элемент Zero Trust или устаревший подход, усложняющий жизнь администраторам без особой добавленной ценности? Мы пригласили экспертов, чтобы обсудить реальные кейсы внедрения, перспективы развития и альтернативные пути контроля доступа.
  • Привилегии вне контроля и как с ними справиться
    После внедрения PAM в один прекрасный день выясняется, что значительная часть привилегий остается вне поля зрения системы. Почему появляются слепые зоны, кто должен их искать, и можно ли защитить сам PAM от внутренних угроз? Обсуждаем с экспертами, где пролегают границы ответственности PAM, чего не видно без интеграций, и каковы перспективы работы российских PAM-решений в облаке.
  • Как и зачем меняется PAM?
    PAM меняется вместе с инфраструктурой, рисками и ожиданиями бизнеса. Речь уже не просто о контроле привилегий, а о полноценном элементе архитектуры доверия. Редакция журнала “Информационная безопасность” спросила у экспертов, какие функции в PAM сегодня можно считать прорывными, как решаются задачи масштабирования и что помогает выявлять слепые зоны.
  • Слепые зоны реагирования в АСУ ТП
    Классические подходы к реагированию, заимствованные из ИТ-среды, не работают в условиях АСУ ТП: запрет на патчинг, устаревшие устройства, разрывы между сегментами, отсутствие логирования и централизованного мониторинга создают критические слепые зоны.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Персональные данные в 2026 году: новые требования
Материалы конференции →

More...
ТБ Форум 2025
Защита АСУ ТП и КИИ: готовимся к 2026 году
Материалы конференции →

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"

Политика конфиденциальности
Согласие на обработку персональных данных